Sicher surfen mit Firefox: Reloaded
Der Web-Browser Firefox ist mittlerweile unbestritten eine der größten Nummern unter den Browsern. Auf aufschnur.de waren im laufenden Jahr 2015 39% aller Besucher mit Firefox unterwegs. Den Rest teilen sich Chrome, Internet Explorer und über ein Dutzend weitere Browser. Vor einigen Jahren schrieb ich einen Artikel, der die Sicherheitseinstellungen des damaligen Firefox (Version 3) beleuchtete und einige nützliche Add-ons vorstellte. Es hat sich zwischenzeitlich einiges getan, und anstatt den alten Artikel komplett zu überarbeiten und zu ergänzen, habe ich mich dazu entschlossen, einen neuen Artikel zu diesem Thema zu schreiben. Mit dieser Anleitung, die ich von Zeit zu Zeit immer wieder aktualisiere, härtet ihr eure Firefox-Installation ab und verbessert damit eure Privatsphäre und das Sicherheitsniveau beim Browsen im Web.
Die Grundeinstellungen
Direkt nach der Installation des Firefox solltet ihr noch an einigen Einstellungs-Schräubchen drehen. Über das Dateimenü Extras | Einstellungen öffnet sich der Konfigurationsdialog von Firefox. Falls das Dateimenü ausgeblendet ist, könnt ihr es mit der Alt-Taste einblenden.
Menüpunkt „Datenschutz“
Erste Anlaufstelle im Einstellungsmenü auf der linken Seite ist der Punkt Datenschutz. Hier könnt ihr u.a. die „Verfolgung“ durch Webseiten bzw. durch Webanalyse-Software wie Google Analytics oder Piwik einschränken und die lokal gespeicherten Webseiteninhalte und Cookies kontrollieren.
Abschnitt „Verfolgung von Nutzeraktivitäten“
Für den privaten Modus ist der „Schutz vor Aktivitätenverfolgung“ standardmäßig aktiviert. Um dieses „DoNotTrack“-Feature auch im normalen Modus zu aktivieren, klickt ihr auf den Link „Websites mitteilen, Ihre Aktivitäten nicht zu verfolgen“ und aktiviert dann das Häkchen. Ihr teilt allen Websites damit mit, dass euer Surfverhalten bitte nicht getrackt wird. Ob sich die Webanalyse-Software daran hält, ist eine andere Frage.
Abschnitt „Chronik“
Im Bereich Chronik legt ihr fest, wie Firefox mit zwischengespeicherten Webseiteninhalten umgehen soll. Das betrifft die heruntergeladenen Dateien, die erstellten Cookies und die besuchten Webseiten. Zuerst müsst ihr die Chronik-Einstellung ändern von „anlegen“ in „nach benutzerdefinierten Einstellungen anlegen„. Die Cookies komplett zu deaktivieren wäre zwar die schnellste Lösung, allerdings nicht sehr komfortabel. Es gibt ja durchaus auch erwünschte Webseiten, die Cookies benötigen. Ein guter Mittelweg ist deshalb, das Häkchen „Cookies akzeptieren“ zu setzen, und im Auswahlfeld „Behalten, bis:“ die Option „Firefox geschlossen wird“ zu wählen. So werden Cookies nur temporär erlaubt und beim Schließen des Browsers gelöscht. Unter „Ausnahmen…“ könnt ihr Domains hinzufügen, für die ihr generell Cookies erlauben oder verbieten wollt.
Ich empfehle euch außerdem, die Chronik löschen zu lassen, wenn Firefox geschlossen wird. Aktiviert diese Option und wählt über die nebenstehende Schaltfläche „Einstellungen…“ die Bereiche aus, die gelöscht werden sollen. Auf eurem privaten PC, den ihr nur alleine nutzt, genügt es sicher, lediglich Cookies und den Cache löschen zu lassen. An einem öffentlichen oder gemeinsam genutzten PC oder am Arbeitsplatz-Rechner, macht es aber Sinn, auch die anderen Bereiche wie die besuchten Seiten und eingegebenen Suchbegriffe zu beseitigen.
Menüpunkt „Sicherheit“
Im nächsten Reiter Sicherheit solltet ihr überprüfen, ob die drei ersten Optionen markiert sind. Sie warnen bzw. schützen vor unliebsamen Überraschungen.
Firefox bringt außerdem eine eigene Passwortverwaltung mit. Damit lassen sich Zugangsdaten für Webseiten abspeichern um sie nicht jedes mal neu eingeben zu müssen. Das ist zwar praktisch, jedoch nicht sehr sicher. Du solltest die Datenbank daher zumindest mit einem brauchbaren Master-Passwort schützen. Ansonsten kann jeder, der Zugang zu deinem PC hat, sich mit deinen Zugangsdaten anmelden. Und wer möchte das schon, wenn es um Facebook, Online-Banking, E-Mail & Co. geht? Eine ausgezeichnete Alternative als Add-on stelle ich im späteren Kapitel vor.
Menüpunkt „Suche“
Noch ein kleiner Abstecher zu den Suchmaschinen-Einstellungen. Google ist sicher die weitverbreitetste Suchmaschine im Web – aber eben auch eine Datenkrake. Wie wäre es mit der Alternative DuckDuckGo? Diese trackt nicht euer Surfverhalten. Wählt einfach als Standardsuchmaschine DuckDuckGo aus. Optional könnt ihr im Menüpunkt „Allgemein“ auch die Startseite auf https://duckduckgo.com ändern.
Add-ons für mehr Datenschutz und Sicherheit
Wohl kein anderer Browser kann mit so vielen Erweiterungen aufwarten, wie Firefox. Eine schier unüberschaubar große Auswahl für alle möglichen Einsatzzwecke bietet die Entwickler-Gemeinde kostenlos an. Doch längst nicht jedes Add-on ist auch brauchbar. Schlecht programmierte und gelegentlich auch böswillige Add-ons kommen immer wieder mal vor. Man sollte deshalb immer ein Auge auf die Benutzerbewertungen und die Aktualität eines Add-ons haben. Per Klick lässt sich ein Add-on installieren und nach einem Browser-Neustart ist die Erweiterung direkt einsatzfähig.
Ihr solltet es allerdings nicht zu bunt treiben mit den Erweiterungen. Denn jedes Add-on benötigt auch ein bisschen Systemressourcen, manches mehr, manches weniger. Wer seinem Firefox 30 Add-ons gönnt, sollte sich nicht wundern, wenn der Browser nur träge reagiert und lange Ladezeiten hat, oder vielleicht sogar Zicken macht. Hier folgt eine Auswahl von einigen guten Sicherheits-Add-ons für den Firefox.
NoScript – JavaScript & Co unter Kontrolle
Das Add-on NoScript gehört eigentlich schon zur Grundausstattung. Java und JavaScript sind zwar nützlich, und viele Webseiten funktionieren gar nicht mehr ohne. Allerdings stellt JavaScript auch ein großes Nerv- und Gefahrenpotential dar. Es gibt immer wieder Seiten, die mit Java/JavaScript Schindluder treiben um z.B. den Nutzer auszuspähen oder gar Schadsoftware unterzujubeln. Mit NoScript wird Java(Script), Silverlight und andere Plugins erst einmal für jede Seite deaktiviert. Über eine eingeblendete Infozeile oder über das kleine Programmsymbol könnt ihr dann bequem für jede besuchte Seite, der ihr vertraut, die Sperre temporär oder dauerhaft aufheben. Für manche ist das am Anfang vielleicht etwas gewöhnungsbedürftig. Doch bald hat man alle seine Lieblingsseiten in den Filter aufgenommen und muss dann nicht mehr daran denken, die Domain erst noch freizuschalten.
Die Hauptdomain (also die eigentliche Webseite auf der ihr euch gerade befindet) ist dabei immer fettgedruckt. Alle anderen Einträge sind Domains über die zusätzlich noch etwas nachgeladen oder kommuniziert wird. Es ist interessant zu sehen, welche Webseiten im Hintergrund noch beteiligt sind. Gerade auch wenn viel Werbung geschaltet wird, wächst die Liste der beteiligten Domains beträchtlich an. Da alle Domains durch NoScript erst einmal geblockt werden, braucht ihr nur die nötigen freischalten. Welche das sind, ist nicht immer gleich ersichtlich. Häufig wird heutzutage ein sog. Content Delivery Network (CDN) verwendet, um Inhalte wie Scripte, Bilder etc. auszulagern. Ein solches CDN ist z.B. akamaihd, welches auch auf Facebook verwendet wird. Wird akamaihd.net blockiert, funktioniert Facebook nicht richtig.
Adblock Plus – Weg mit der Werbung
Manche Webseiten sind so überfrachtet mit Werbung, dass man vor lauter Werbung die eigentliche Seite nicht mehr erkennt. Mit Adblock Plus ist damit Schluss. Das Add-on filtert Werbebanner und Popups aus den Seiten. Zurück bleibt ein „sauberer“ Inhalt ohne nervige Popups, Blinker-Banner und dergleichen.
Werbung zu unterdrücken hat aber auch eine Schattenseite. Denn viele Projekte wie z.B. diverse Newsseiten und Communities finanzieren sich ausschließlich über Werbung. Wird sie nicht mehr angezeigt, bekommen die Seitenbetreiber auch kein Geld mehr. Der eigene Komfort kann so für andere mit der Zeit zum Verhängnis werden.
WOT – Warnung vor dem bösen Hund
Immer mal wieder melden sich Bekannte oder Familienmitglieder bei mir, weil sie zur falschen Zeit auf der falschen Website waren: „Da kam dann plötzlich eine Meldung, mein PC hätte über 4.000 fehlerhafte Dings-Einträge und mit diesem Programm könne man das beheben. Ich habe dann da drauf geklickt und wurde auf eine andere Seite weitergeleitet…„. So oder ähnlich beginnen dann die Geschichten ihrer Odyssee. Ich predige zwar immer vom gesunden Misstrauen im Web, aber manchmal wäre ein Wächter nicht schlecht, der den User eindringlich vor schädlichen Webseiten warnt. So etwas gibt es: WOT (Web Of Trust) ist ein Reputations- und Rezensionsservice und bietet ein Add-on für alle gängigen Browser an, natürlich auch für Firefox. Die Bewertung einer Website, ob gut oder böse, erfolgt von der millionen-großen WOT-Community sowie aus Quellen von Drittanbietern. Eine große Warnmeldung, die sich über das gesamte Browserfenster legt, lässt auch den unbedarftesten Anwender aufhorchen. Außerdem werden die Suchergebnisse in Google, Bing & Co. sowie Links in sozialen Netzwerken wie Facebook mit einem kleinen Symbol in den Ampelfarben gekennzeichnet. Sehr praktisch und sehr wirksam.
BetterPrivacy – Gegen Monster-Cookies
Unlängst hatte ich einen Artikel über die Zombie-Cookies (auch „Super-Cookies“) geschrieben. Webseiten arbeiten schon lange nicht mehr nur mit dem klassischen Browser-Cookie sondern bedienen sich weiterer Technologien wie z.B. Flash oder DOM Storage. Das Add-on BetterPrivacy schützt euren Browser vor unlöschbaren Langzeit-Cookies. Nach der Installation und einem Browser-Neustart solltet ihr in den Einstellungen des Add-ons im Register „Optionen & Hilfe“ die Option „Immer fragen“ deaktivieren und die Option „Auch Flashplayer Standard-Cookie löschen…“ aktivieren.
LastPass – Der Passwort-Tresor
LastPass ist ein unabhängiger Passwort-Manager. Ihr benötigt lediglich einen kostenlosen Account auf LastPass.com und die Browser-Erweiterung. Das Add-on bietet deutlich mehr Funktionen als die integrierte Passwort-Verwaltung von Firefox. Ihr braucht euch dann nur noch ein einziges, hoffentlich sicheres Master-Passwort zu merken, mit dem ihr den Tresor öffnet und dann auf alle anderen Zugangsdaten zugreifen könnt. Die Daten werden zwar online auf den Servern des Anbieters gespeichert. Bevor dies aber geschieht, werden sie vorher lokal auf eurem Rechner verschlüsselt. Das heißt, niemand (außer wahrscheinlich natürlich wieder die NSA) kann eure Zugangsdaten einsehen. Ich persönlich nutze LastPass schon lange, speichere dort aber nur unkritische Zugänge wie für Foren, Newsseiten oder auch mal Onlineshops. Für sensible Bereiche wie Onlinebanking oder Finanzamt empfehle ich besser einen rein lokalen Passwort-Manager wie KeePass.
Add-ons für temporäre Wegwerf-E-Mail-Adressen
Die „Wegwerf-E-Mail-Adresse“ führt schon längst kein Schattendasein mehr. Dank ihr braucht man bei beliebigen Diensten nicht mehr seine richtige E-Mail-Adresse anzugeben, und kann sich somit gegen Missbrauch durch Spam und Newsletter schützen. Meistens haben solche Wegwerf-E-Mail-Adressen eine stark beschränkte Lebenszeit, weshalb sie sich eher nur für Registrierungen eignen, bei denen man sich voraussichtlich nur einmal oder wenige male anmeldet.
Bloody Vikings!
Bei Bloody Vikings! erhaltet ihr eine klassische Wegwerf-E-Mail-Adresse. Das Add-on gibt euch die Wahl zwischen fast einem Dutzend verschiedener Dienste wie anonbox.net und mailinator.com. Per Rechtsklick in einem Onlineformular könnt ihr ganz schnell eine temporäre Wegwerf-E-Mail-Adresse generieren lassen.
TrashMail.net
Eine etwas andere Variante ist die temporäre Weiterleitungs-E-Mail-Adresse. Ein Add-on für solch einen Dienst ist TrashMail. Benötigt wird hier eine kostenlose Registrierung auf TrashMail.net. Alle E-Mails die an eure Weiterleitungs-E-Mail-Adresse gesendet werden, werden an eure richtige E-Mail-Adresse weitergeleitet – solange bis die Weiterleitungs-E-Mail-Adresse abgelaufen ist oder das Weiterleitungslimit erreicht ist. Im kostenlosen Account ist eure Weiterleitungs-E-Mail-Adresse maximal einen Monat gültig und kann maximal 10 Mails weiterleiten. Das genügt für die meisten Anmeldezwang-Szenarien wie Gewinnspiel-Teilnahme o.ä. Für 10 EUR pro Jahr bekommt ihr u.a. unendliche Weiterleitungen und Gültigkeitsdauer und bis zu 2500 Weiterleitungs-Adressen.
FoxyProxy – Mit der Tarnkappe unterwegs
FoxyProxy erweitert bzw. ersetzt die beschränkte Proxy-Funktionalität des Firefox. Mit dieser Erweiterung verschleiert ihr eure Spuren im Netz, indem die URL-Zugriffe über einen oder mehrere Proxy-Server geleitet werden (z.B. Tor). Das ist sinnvoll, wenn man nicht zurück verfolgt werden können soll. Verwechselt allerdings nicht Proxy mit VPN. Sensible Daten (z.B. für Kreditkarten oder Online-Banking) solltet ihr nicht durch ein Proxy-Netzwerk schicken, denn jeder Proxy/Knotenpunkt könnte prinzipiell durch den Betreiber ausgelesen werden. Zum Verschleiern eurer Surfspuren jedoch eignet sich ein Proxy-Netzwerk sehr gut. Eine brauchbare und ständig aktualisierte Proxy-Liste bekommt ihr z.B. bei HideMyAss.
TabRenamizer – Was guckst du?
Ist euch schon mal aufgefallen, dass jeder auf die Titel eurer geöffneten Tabs schaut? Das Add-on TabRenamizer schafft etwas mehr Privatsphäre, und schützt vor allzu neugierigen Blicken der Kollegen am Arbeitsplatz. Jedes Tab im Browserfenster lässt sich ganz einfach umbenennen, inklusive dem grafischen Favicon. Ihr könnt auch Regeln erstellen, damit das Tab automatisch umbenannt wird, sobald ihr auf einer bestimmten Webseite unterwegs seid. Die Weiterentwicklung dieses praktischen Add-ons wurde leider eingestellt. Die letzte Version ist aus 2011, funktioniert aber nach wie vor auch unter dem aktuellen Firefox 24.
Abschließende Worte
Es sind im Wesentlichen nur drei Dinge nötig, um euer Surfvergnügen im Internet angenehmer und sicherer zu machen:
- Eine sichere Grundkonfiguration des Browser sowie regelmäßige Updates der Plugins (Java, Flash, etc.)
- Das eine oder andere nützliche Add-on.
- Und der Klassiker: Die unschlagbare, kostenlose Sicherheitssoftware Brain.exe 😉
Alex
23. Oktober 2013 um 10:53 Uhr
Da isser wieder. Lang, lang ist’s her und… wir sind immer noch hier! 🙂
Da hast du ja mal eine große Anleitung rausgehauen, Hut ab.
Schön wieder bei und von dir zu lesen, alles Gute.